angr-example(解CTF题目)

最新推荐文章于 2022-05-27 09:11:40 发布
最新推荐文章于 2022-05-27 09:11:40 发布
阅读量2.8k 收藏 6
点赞数 1
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713009/article/details/89766154
版权

0x0 废话

emmm,总之就是官方给的examples啦。持续更新...

链接:https://docs.angr.io/examples

0x1 defcamp_r100

angr在CTF中最常见的使用方式就是利用符号执行来探索路径。来看主函数

可以看到本题中只需要达到0x400844这个地址,我们的输入就是正确的flag,即我们打印到达0x400844这个地址的state的标准输入流就可以得到flag。 我们来具体实现这个过程

import angr

proj = angr.Project('./r100')
st = proj.factory.entry_state()
sm = proj.factory.simulation_manager(st)
sm.explore(find=0x400844, avoid=0x400855)
print sm.found[0].posix.dumps(0)

其中,sm.explore即开始执行,当state的地址到达find参数的地址时,执行就会终止,然后将该state放入found stash中;而到达avoid参数的地址时,会将当前state放入avoided stash中。由于我们最后的flag即是我们的输入,所以需要打印标准输入流信息,state.posix存放了一些与环境相关的信息,我们可以通过文件描述符0来获取标准输入流,于是便有了最后一行代码。

本题的check函数是一个较为复杂的运算,如下

signed __int64 __fastcall sub_4006FD(__int64 a1)
{
  signed int i; // [rsp+14h] [rbp-24h]
  const char *v3; // [rsp+18h] [rbp-20h]
  const char *v4; // [rsp+20h] [rbp-18h]
  const char *v5; // [rsp+28h] [rbp-10h]

  v3 = "Dufhbmf";
  v4 = "pG`imos";
  v5 = "ewUglpt";
  for ( i = 0; i <= 11; ++i )
  {
    if ( (&v3)[i % 3][2 * (i / 3)] - *(char *)(i + a1) != 1 )
      return 1LL;
  }
  return 0LL;
}

不过对angr来说,这点计算量算是很小了,所以能很快的进行约束求解。

0x2 asisctffinals2015_fake

主函数如下

__int64 __fastcall main(signed int a1, char **a2, char **a3)
{
  __int64 v3; // r8
  __int64 v5; // [rsp+0h] [rbp-38h]
  __int64 v6; // [rsp+8h] [rbp-30h]
  __int64 v7; // [rsp+10h] [rbp-28h]
  __int64 v8; // [rsp+18h] [rbp-20h]
  __int64 v9; // [rsp+20h] [rbp-18h]

  v3 = 0LL;
  if ( a1 > 1 )
    v3 = strtol(a2[1], 0LL, 10);
  v5 = 1019660215 * v3;
  v6 = 2676064947712729LL
     * ((v3 >> 19)
      - 2837
      * (((signed __int64)((unsigned __int128)(6658253765061184651LL * (signed __int128)(v3 >> 19)) >> 64) >> 10)
       - (v3 >> 63)))
     * ((v3 >> 19)
      - 35
      * (((signed __int64)((unsigned __int128)(1054099661354831521LL * (signed __int128)(v3 >> 19)) >> 64) >> 1)
       - (v3 >> 63)))
     * ((v3 >> 19)
      - 33
      * (((signed __int64)((unsigned __int128)(1117984489315730401LL * (signed __int128)(v3 >> 19)) >> 64) >> 1)
       - (v3 >> 63)));
  v7 = ((v3 >> 19)
      - 9643
      * (((signed __int64)((unsigned __int128)(1958878557656183849LL * (signed __int128)(v3 >> 19)) >> 64) >> 10)
       - (v3 >> 63)))
     * 5785690976857702LL
     * ((v3 >> 19)
      - 167
      * (((signed __int64)((unsigned __int128)(7069410902499468883LL * (signed __int128)(v3 >> 19)) >> 64) >> 6)
       - (v3 >> 63)));
  v8 = ((v3 >> 19)
      - 257
      * (((signed __int64)((unsigned __int128)(9187483429707480961LL * (signed __int128)(v3 >> 19)) >> 64) >> 7)
       - (v3 >> 63)))
     * 668176625215826LL
     * ((v3 >> 19)
      - 55
      * (((signed __int64)((unsigned __int128)(5366325548715505925LL * (signed __int128)(v3 >> 19)) >> 64) >> 4)
       - (v3 >> 63)));
  v9 = ((v3 >> 19)
      - 48271
      * (((signed __int64)((unsigned __int128)(1565284823722614477LL * (signed __int128)(v3 >> 19)) >> 64) >> 12)
       - (v3 >> 63)))
     * 2503371776094LL
     * ((v3 >> 19)
      - 23
      * (((signed __int64)((v3 >> 19) + ((unsigned __int128)(-5614226457215950491LL * (signed __int128)(v3 >> 19)) >> 64)) >> 4)
       - (v3 >> 63)));
  puts((const char *)&v5);
  return 0LL;
}

这次,由于flag是通过我们的输入来生成的,而非flag本身,所以我们需要对生成结果进行一些约束,以此来求出flag。

首先,这里是通过命令行参数进行输入,但输入的是一个数字,这就导致了我们不知道它的长度以及符号,所以直接使用字符串数字作为符号变量并非一个好主意,而在之后我们可以看到使用了strtol函数将这个字符串数字转换为了64位整数,我们可以从这里作为出发点,最终对其变换结果进行约束求解。</

最低0.47元/天 解锁文章
「已注销」
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
逆向工具angr的快捷教程(3):CTF解题实例
白马负金羁
06-30 794
angr是一个基于Python开发的二进制程序分析(Binary analysis)框架,可以用于开展动态符号执行(Symbolic Execution)和多种静态分析。事实上,Symbolic Execution也正是angr的一个代表性功能
符号执行angrctf逆向题组
12-28
在`angr_ctf-master`这个压缩包中,你可能会找到一些示例代码、测试用例和CTF题目,这些都是学习`angr`符号执行的好资源。通过深入学习和实践这些材料,你将能够熟练地运用`angr`决各种逆向工程问题,提高你在CTF...
[XCTF] 逆向 Reversing-x64Elf-100
0of_blog
05-27 524
首先,下载附件.re后缀的文件?照常看一下文件格式 运行一下试试 IDA打开,直奔Main函数,F5看伪代码 __int64 __fastcall main(int a1, char **a2, char **a3) { __int64 result; // rax char s[264]; // [rsp+0h] [rbp-110h] BYREF unsigned __int64 v5; // [rsp+108h] [rbp-8h] v5 = __readfsqwo...
BUUCTF——[ACTF新生赛2020]SoulLike——使用angr
weixin_52369224的博客
11-16 733
64位无壳。IDApro打开,查看main函数 逻辑很简单,我们来查看sub_83A函数。点进去,toobig 看了其他博客。 我们需要将ida /ctg目录下的hexrays.cfg文件中的MAX_FUNCSIZE=64 改为 MAX_FUNCSIZE=1024 改完看函数 好长:看最后部分,一大堆异或,然后比较 第一个想到了爆破,最近在学angr,尝试用angr解题 脚本: import angr p = angr.Project('SoulLike') st = p...
C++程序正向编译逆向反编译(一)
热门推荐
qq_20031585的博客
04-26 3万+
逆向工程师必须先是一个正向开发工程师,如果没有C++/MFC的开发经验,就不会懂得如何逆向分析C++/MFC的程序,本文完成一个helloworld的C++正逆向过程。
攻防世界逆向高手题之dmd-50
沐一 · 林 的博客
08-23 598
攻防世界逆向高手题之dmd-50 继续开启全栈梦想之逆向之旅~ 这题是攻防世界逆向高手题的dmd-50 下载附件,照例扔入exeinfope中查看信息: 64位ELF文件,无壳,照例扔入IDA64位中查看伪代码,有main函数看main函数: 看到一堆变量,一堆系统函数,我知道系统函数通常不是考点,可这系统函数多到我都差点找不到主要代码: 突然看见字符串Enter the valid key!\n 猜测题型是与用户输入相关的判断型flag。 代码分析: v43 = __readfsqword(
angr-doc:Angr套件的文档
04-29
angr是一个多体系结构的二进制分析工具包,具有对二进制文件执行动态符号执行(如Mayhem,KLEE等)和各种静态分析的功能。 如果您想学习如何使用它,那么您来对地方了! 我们试图使angr尽可能轻松地使用-我们的...
angr-management:Angr的GUI。 正在*非常*缓慢地发展
03-06
运行angr-management的最简单方法是在此处获取捆绑的发行版: : 这个使用pyinstaller构建的二进制文件可以放在任何地方并执行。 从PyPI 要安装Angr-management,请使用pip: pip install angr-management PyPI...
angr-cli:回购各种angr ipython功能,以使其具有更多的cli感觉
03-07
如果要对此进行开发安装,请在激活angr虚拟环境后在您选择的文件夹(例如angr-dev库)中运行它 git clone https://github.com/fmagin/angr-cli.git cd angr-cli pip install -e ./ 一般用法 导入和设置所有功能: ...
Python库 | angr-8.20.6.8.tar.gz
04-06
资源分类:Python库 所属语言:Python 资源全名:angr-8.20.6.8.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
湖湘杯2021-pwn-final部分复现
qq_53062301的博客
12-09 4905
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘杯是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
【pwnable.kr】Toddler‘s Bottle-[random]
weixin_45633243的博客
12-07 3351
目录导航Target & DownloadAnalysis & IDADebug & writeupTIPS Target & Download Daddy, teach me how to use random value in programming! ssh random@pwnable.kr -p2222 (pw:guest) scp 下载文件 scp -P 2222 -p random@pwnable.kr:/home/random/* ./ An
angr符号执行用例析——codegate_2017-angrybird
doudoudouzoule的博客
04-16 1286
用例源码以及二进制文件链接:https://github.com/angr/angr-doc/tree/master/examples/codegate_2017-angrybird这个二进制文件执行起来没反应,给参数也不可以。看了用例源码,才知道这个二进制文件很怪,加了“anti-run instructions”(嗯,反运行指令)。除非更改二进制文件,删除掉反运行指令或直接跳转到正确代码块才可...
ISCC逆向myala
weixin_52003247的博客
05-26 420
ISCC逆向题VigenereLike
re刷题第八天
Prowes5的博客
09-17 276
re刷题第八天 0x00 Reversing-x64Elf-100 载入IDA,找到关键代码 __int64 __fastcall sub_4006FD(__int64 a1) { int i; // [rsp+14h] [rbp-24h] const char *v3; // [rsp+18h] [rbp-20h] const char *v4; // [rsp+20h] [rbp...
约束符号求angrCTF中的简单使用(0~2)
qq_64558075的博客
04-30 323
1.00_angr_find 程序本身非常简单,可以采用常规的逆向手段进行密 import sys def main(argv): p=angr.Project('./00_angr_find')#加载00_angr_find这个程序 init_state=p.factory.entry_state()#给定一个初始化的状态 sm=p.factory.simulation_manager(init_state)#使用simgr进行执行 good_
CTF-Reverse | .re文件求flag-x64Elf-100
萌狼蓝天の技术栈
05-17 558
获得该文件,扩展名为(.re) 使用Exeinfo PE 查询得到如下信息 NOT Win EXE - .o - ELF executable [ 64bit obj. Exe file - CPU : AMD x86-64 - OS: unspecified ] -> Compiler : GCC: (Ubuntu 4.8.4-2ubuntu1~14.04) 4.8.4 使用IDA-64 永乐汉化版,打开此文件,选择ELF64 forx86-64(Executable)[elff....
angr学习之ctf练习
qq_43682582的博客
11-20 1445
文档前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings.
angr二进制题目1
Cosmopolitan的博客
06-15 1341
上图是程序的流程,大概说一下,int main(int argc,char *argv[],char *env[]) 先判断argc是不是2,如果不是直接打印You need to enter the secret key! 如果是2,就一个文件名,和一个secret key字符串。接着调用verify函数来检查secret key 是否合法。这是可执行文件的下载地址:http://pan.ba
python angr安装
最新发布
09-22
安装python angr的步骤如下: 1. 首先,安装必要的软件环境。使用以下命令安装依赖项: sudo apt-get install python3-dev libffi-dev build-essential virtualenvwrapper 2. 然后,创建一个虚拟环境并安装angr。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值